开通并授权依赖的阿里云产品

使用PAI进行AI开发过程中,不同的开发场景下需要联合使用一些其他阿里云产品,如OSS、MaxCompute等,因此在正式开始AI开发前,您需要根据场景提前开通好对应的其他云产品并做好授权,以保障后续的开发工作可以顺利进行。本文介绍各场景下依赖的其他云产品列表及权限要求。

了解授权对象:PAI服务账号、阿里云操作账号

在进行其他云产品开通和授权前,您可以先了解下需要授权的对象,有助于理解后续的授权操作。在使用PAI的过程中,您需要对两个对象进行授权。

授权对象

授权对象描述

开通及授权操作的入口与指引

PAI服务账号

开通PAI时,系统会为您创建一个PAI的服务账号,用于后续在使用过程中使用PAI的子产品、访问其他相关云产品,因此您需要为PAI服务账号授予相应的权限,以保障后续操作能够顺利执行。

通常在开通PAI时已完成(即开通页面中的授权操作),如果开通时有遗漏的授权操作,在后续的操作界面上也会提示需要进行授权,您在对应的授权提示页面也可通过单击授权一键完成授权。

用户操作时使用的阿里云账号

在使用PAI进行AI开发时,您需要使用您的阿里云账号登录并对PAI的各子产品、依赖的其他云产品进行相应的操作。因此,您需要根据实际业务需要为不同的阿里云账号授予相应的权限。

说明
  • 开通PAI和购买相关云资源的场景建议您使用阿里云主账号进行操作。

  • 后续的开发、管理、运维等操作可以根据需要使用RAM账号进行操作,给相应的RAM账号授予相应的权限即可。

不同操作场景下依赖的云产品列表,以及对应云产品对操作账号的权限要求,请参见下文。

PAI子产品及依赖的其他阿里云产品

使用PAI时,不同的场景下依赖的云产品列表及权限要求如下。

开通PAI及购买PAI资源

  • 操作的阿里云账号建议

    建议使用阿里云主账号进行PAI的开通和PAI资源购买的操作(例如购买通用训练资源等资源购买操作)。

  • 权限要求

    操作账号类型

    权限要求

    操作引导链接

    主账号

    (推荐)

    主账号可直接进行开通和资源购买操作,无需额外授权。

    不涉及

    RAM账号

    如果您需要使用RAM账号开通PAI,或使用RAM账号购买PAI资源,您需要给RAM账号授予AliyunPAIFullAccess权限。

    说明

    AliyunPAIFullAccess权限范围较大,建议您直接使用主账号进行操作。

    附录:AliyunPAIFullAccess

AI工作空间管理

AI工作空间是PAI的顶层概念,为企业和团队提供统一的计算资源管理及人员权限管理能力,为AI开发者提供支持团队协作的全流程开发工具以及AI资产管理能力。您可以使用主账号或RAM账号进行AI工作空间相关操作。

  • PAI子产品:AI工作空间

    操作账号类型

    权限要求

    主账号

    主账号可直接进行AI工作空间的所有操作,无需额外授权。

    RAM账号

    当主账号下有很多RAM账号且各RAM账号的使用人业务角色较多时,可结合业务人员情况,给不同RAM账号授予资源管理员(主账号/通过RAM授权)工作空间管理员/负责人算法开发算法运维标注管理员访客成员角色的权限。各角色对工作空间的操作权限明细可前往附录:角色及权限列表

  • 依赖的其他云产品:Eventbridge

    PAI工作空间为您提供了消息通知机制,实现对DLC任务或Designer任务状态的跟踪和监控等功能。工作空间的消息通知功能依赖EventBridge,因此您需要开通EventBridge并授予对应的权限。

AI开发:iTAG

智能标注(iTAG)是一款智能化数据标注平台,支持图像、文本、视频、音频等多种数据类型的标注以及多模态的混合标注。您使用iTAG进行数据标注时,可能需要依赖以下相关云产品,您需要提前开通并做好授权操作。

  • PAI子产品:iTAG

    操作账号类型

    使用场景

    操作引导链接

    主账号

    主账号可直接进行iTAG的所有操作,无需额外授权。

    不涉及

    RAM账号

    (推荐)

    PAI为您提供了不同的成员角色,您可根据需要将RAM用户添加为对应角色的工作空间成员,使其拥有对应子产品的操作权限。各角色的权限详情可前往附录:角色及权限列表

    管理工作空间成员

  • 依赖的其他云产品:OSS

    标注数据集的输入和输出依赖于OSS数据源,因此您需要开通OSS并授予对应的权限。

    细分场景

    场景说明

    操作引导链接

    开通OSS

    建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通OSS,您需要给RAM账号授予AliyunOSSFullAccess权限。

    使用OSS

    后续使用OSS时:

    • 授权:OSS提供了详细的RAM管控策略,您可以根据需要给对应RAM账号授予操作权限。

    • 常见操作:通常需要先创建一个bucket,便于后续上传文件至OSS。

AI开发:Designer

Designer提供界面化的、端到端的机器学习全链路开发环境,并内置了丰富且成熟的机器学习算法。当您使用Designer进行模型开发时,可能需要依赖以下相关云产品,您需要提前开通并做好授权操作。

  • PAI子产品:Designer

    操作账号类型

    使用场景

    操作引导链接

    主账号

    主账号可直接进行Designer的所有操作,无需额外授权。

    不涉及

    RAM账号

    (推荐)

    PAI为您提供了不同的成员角色,您可根据需要将RAM用户添加为对应角色的工作空间成员,使其拥有对应子产品的操作权限。各角色的权限详情可前往附录:角色及权限列表

    管理工作空间成员

  • 依赖的其他PAI子产品:通用计算资源

    在使用Designer进行AI开发时,您需要准备相应的计算资源,您可以使用PAI提供的通用AI计算资源。

    购买通用AI计算资源时建议使用主账号进行操作,而在使用RAM账号时需被授予AliyunPAIFullAccess权限。权限要求详情请参见上文的开通PAI及购买PAI资源

  • 依赖的其他云产品:MaxCompute

    Designer中提供上百种基于MaxCompute框架实现的自研算法,如果需要使用相关算法您就需要开通MaxCompute,您可以在使用过程中遇到提示按需开通。

    细分场景

    场景说明

    操作引导链接

    开通MaxCompute

    建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通MaxCompute,则需要给RAM账号授予AliyunBSSOrderAccessAliyunDataWorksFullAccess权限。

    使用MaxCompute

    需为工作空间添加MaxCompute开发角色,详情请参见添加成员

  • 依赖的其他云产品:OSS

    使用深度学习算法组件时,依赖OSS数据源,因此您需要开通OSS并授予对应的权限。

    细分场景

    场景说明

    操作引导链接

    开通OSS

    建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通OSS,您需要给RAM账号授予AliyunOSSFullAccess权限。

    使用OSS

    后续使用OSS时:

    • 授权:OSS提供了详细的RAM管控策略,您可以根据需要给对应RAM账号授予操作权限。

    • 常见操作:通常需要先创建一个bucket,便于后续上传文件至OSS。

  • 依赖的其他云产品:Flink

    Designer中提供了几十种基于Flink框架实现的阿里自研算法。如果需要使用相关算法,您就需要开通Flink。您可以在使用过程中按需开通。

    细分场景

    场景说明

    操作引导链接

    开通Flink

    建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通Flink,您需要给RAM账号授予AliyunStreamFullAccess权限。

    使用Flink

    后续使用Flink时:

    • 授权:Flink提供了详细的RAM管控策略,您可根据需要给对应RAM账号授予操作权限。

AI开发:DSW

DSW是一款云端机器学习开发IDE,为您提供交互式编程环境,适用于不同水平的开发者。在使用DSW进行交互式建模时,可能需要依赖以下相关云产品,您需要提前开通并做好授权操作。

  • PAI子产品:DSW

    操作账号类型

    使用场景

    操作引导链接

    主账号

    主账号可直接进行DSW的所有操作,无需额外授权。

    不涉及

    RAM账号

    (推荐)

    PAI为您提供了不同的成员角色,您可根据需要将RAM用户添加为对应角色的工作空间成员,使其拥有对应子产品的操作权限。各角色的权限详情可前往附录:角色及权限列表

    管理工作空间成员

  • 依赖的其他云产品:NAS

    系统为使用公共资源组创建的DSW实例提供一定存储空间的云盘,用于持久化存储。如果该实例停机超过15天未开机,云盘的内容将被清空。而使用专有资源组创建的DSW实例则提供非持久化的本地存储。如果您希望长期保留数据,建议挂载NAS来实现持久化存储。因此您需要开通NAS并授予对应的权限。

    细分场景

    场景说明

    操作引导链接

    开通NAS

    建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通NAS,您需要给该RAM账号授予AliyunNASFullAccess权限。

    使用NAS

    后续使用NAS时:

    • 授权:NAS提供了详细的RAM管控策略,您可根据需要给对应RAM账号授予操作权限。

    • 常见操作:通常需要先创建NAS文件系统,便于后续挂载至PAI的子产品资源实例中。

AI开发:DLC

DLC为您提供了模型训练任务创建与提交的平台。您使用DLC创建提交训练任务时,可能需要依赖以下相关云产品,您需要提前开通并做好授权操作。

  • PAI子产品:DLC

    操作账号类型

    使用场景

    操作引导链接

    主账号

    主账号可直接进行DLC的所有操作,无需额外授权。

    不涉及

    RAM账号

    (推荐)

    PAI为您提供了不同的成员角色,您可根据需要将RAM用户添加为对应角色的工作空间成员,使其拥有对应子产品的操作权限。各角色的权限详情可前往附录:角色及权限列表

    管理工作空间成员

  • 依赖的其他云产品:NAS

    文件持久化存储需要依赖NAS,因此您需要开通NAS并授予对应的权限。

    细分场景

    场景说明

    操作引导链接

    开通NAS

    建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通NAS,您需要给该RAM账号授予AliyunNASFullAccess权限。

    使用NAS

    后续使用NAS时:

    • 授权:NAS提供了详细的RAM管控策略,您可根据需要给对应RAM账号授予操作权限。

    • 常见操作:通常需要先创建NAS文件系统,便于后续挂载至PAI的子产品资源实例中。

  • 依赖的其他云产品:OSS

    数据存储依赖OSS,因此您需要开通OSS并授予对应的权限。

    细分场景

    场景说明

    操作引导链接

    开通OSS

    建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通OSS,您需要给RAM账号授予AliyunOSSFullAccess权限。

    使用OSS

    后续使用OSS时:

    • 授权:OSS提供了详细的RAM管控策略,您可以根据需要给对应RAM账号授予操作权限。

    • 常见操作:通常需要先创建一个bucket,便于后续上传文件至OSS。

AI开发:EAS

通过EAS,您可以将模型快速部署为RESTful API,然后通过HTTP请求的方式调用该服务。在使用EAS进行模型部署时,可能需要依赖以下相关云产品。您需要提前开通并做好授权操作。

  • PAI子产品:EAS

    操作账号类型

    使用场景

    操作引导链接

    主账号

    主账号可直接进行EAS的所有操作,无需额外授权。

    不涉及

    RAM账号

    (推荐)

    PAI为您提供了详细的RAM管控策略,您可以根据需要为对应的RAM账号授予操作权限。例如:

    • EAS的管理权限:需授予AliyunPAIEASFullAccess角色权限。

    • EAS的只读权限:需授予AliyunPAIEASReadOnlyAccess角色权限。

    云产品依赖与授权:EAS

  • 依赖的其他云产品:API网关

    通过API网关的公网调用功能,实现EAS部署后的服务公网调试与访问。

    细分场景

    场景说明

    操作引导链接

    开通API网关

    建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通API网关,您需要给RAM账号授予AliyunApiGatewayFullAccess权限。

    使用API网关

    后续使用API网关时:

    • 授权:API网关提供了详细的RAM管控策略,您可根据需要给对应RAM账号授予操作权限。

  • 依赖的其他云产品:OSS

    读取OSS的模型文件。

    细分场景

    场景说明

    操作引导链接

    开通OSS

    建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通OSS,您需要给RAM账号授予AliyunOSSFullAccess权限。

    使用OSS

    后续使用OSS时:

    • 授权:OSS提供了详细的RAM管控策略,您可以根据需要给对应RAM账号授予操作权限。

    • 常见操作:通常需要先创建一个bucket,便于后续上传文件至OSS。

  • 依赖的其他云产品:SLS

    配置日志写入到SLS。

    细分场景

    场景说明

    操作引导链接

    开通SLS

    建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通API网关,您需要给RAM账号授予AliyunLogFullAccess权限。

    使用SLS

    后续使用SLS网关时:

    • 授权:SLS网关提供了详细的RAM管控策略,您可以根据需要为对应的RAM账号授予操作权限。

    • 常见操作:通常需要创建SLSProjectLogstore,用于后续采集存储日志信息。

  • 依赖的其他云产品:VPC

    VPC高速直连。

    细分场景

    场景说明

    操作引导链接

    开通VPC

    建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通API网关,您需要给RAM账号授予AliyunVPCFullAccess权限。

    使用VPC

    后续使用VPC网关时:

    • 授权:VPC网关提供了详细的RAM管控策略,您可以根据需要给对应RAM账号授予操作权限。

    • 常见操作:通常需要创建好专有网络VPC和对应的交换机,用于后续绑定VPC并进行网络连通。

  • 依赖的其他云产品:云监控

    服务监控报警。

    细分场景

    场景说明

    操作引导链接

    开通云监控

    建议您使用主账号进行开通操作。使用主账号开通时无需额外的授权操作。如果您希望使用RAM账号开通API网关,您需要给RAM账号授予AliyunCloudMonitorFullAccess权限。

    使用云监控

    后续使用云监控网关时:

    • 授权:云监控网关提供了详细的RAM管控策略,您可以根据需要为对应的RAM账号授予操作权限。

    • 常见操作:通常需要配置报警联系人、报警规则。

AI资产管理

AI资产管理为您提供了AI开发过程中,将开发相关数据资产化,并一站式管理相关资产的平台。当您使用AI资产平台创建并管理对应资产时,可能需要依赖以下相关云产品,您需要提前开通并做好授权操作。

  • PAI子产品:AI资产管理

    操作账号类型

    使用场景

    操作引导链接

    主账号

    主账号可直接进行AI资产的所有操作,无需额外授权。

    不涉及

    RAM账号

    (推荐)

    PAI为您提供了不同的成员角色,您可根据需要将RAM用户添加为对应角色的工作空间成员,使其拥有对应子产品的操作权限。各角色的权限详情可前往附录:角色及权限列表

    管理工作空间成员

  • 依赖的其他云产品:ACR

    使用AI资产管理平台创建自定义镜像,将其沉淀为AI资产并进行管理时,需依赖ACR。

    细分场景

    场景说明

    操作引导链接

    开通云监控

    建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通API网关,您需要给RAM账号授予AliyunContainerRegistryFullAccess权限。

    使用云监控

    后续使用云监控网关时:

    • 授权:云监控网关提供了详细的RAM管控策略,您可根据需要给对应RAM账号授予操作权限。

    • 常见操作:通常需要准备好构建镜像的Dockerfile文件后,先创建好自定义镜像,然后将镜像通过AI资产平台沉淀为AI资产。

AI加速

AI加速为您提供训练、推理等AI加速能力。

  • 使用大部分AI加速功能时,您仅需拥有对应模型开发、训练、推理的子产品操作权限即可,无需额外授权。

  • 仅使用数据集加速时,您需要购买数据集加速资源实例并配置加速槽。

    • 数据集加速实例资源购买、配置的操作账号建议使用主账号。

    • RAM账号操作时需被授予AliyunPAIFullAccessAliyunDatasetAccFullAccess权限。